事关网络数据安全，国家网信办公开征求意见

感谢网友 若怡、啊俊、autumn_dream、山有扶苏 的线索提供！

12 月 6 日消息，据“网信中国”微信公众号发布的信息，为加强网络数据安全风险评估工作的规范化管理，切实维护网络数据安全，推动网络数据依法、合规、高效利用，依据《中华人民共和国数据安全法》《网络数据安全管理条例》等法律法规，国家互联网信息办公室组织起草了《网络数据安全风险评估办法（征求意见稿）》，即日起面向全社会公开征集意见。

美图AI开放平台

美图推出的AI人脸图像处理平台

111

查看详情

附件：征求意见稿全文如下：

网络数据安全风险评估办法 （征求意见稿） 第一条 为统一网络数据安全风险评估工作标准，筑牢网络数据安全防线，支撑网络数据合法有序流通与应用，依据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《网络数据安全管理条例》等法律、行政法规，制定本办法。 第二条 在中华人民共和国境内实施网络数据安全风险评估活动，适用本办法。法律、行政法规及部门规章另有特别规定的，从其规定。 本办法所称网络数据安全风险评估（以下简称“风险评估”），是指围绕网络数据及其处理行为开展的风险识别、风险分析与风险判定等系统性活动。 第三条 国家网信部门在国家数据安全工作协调机制统筹下，负责全国范围内风险评估工作的总体部署、跨区域协同与信息互通。 第四条 各行业主管部门应坚持“业务谁主管、数据谁负责、安全谁落实”原则，定期组织本行业、本领域风险评估；可根据监管需要，对重要数据处理主体的风险评估实施情况进行抽查，并于每年 1 月 31 日前向国家网信部门报送年度评估与检查安排。 省级网信部门牵头编制本地区年度风险评估与检查计划，并按上述时限报国家网信部门备案。 第五条 国家网信部门在国家数据安全工作协调机制指导下，综合汇总各主管部门及省级网信部门报送的年度计划，统筹调度、优化安排，防止多头评估、重复检查。 所有监督检查不得向被检查单位收取任何费用。 第六条 处理重要数据的网络数据处理者（以下简称“重要数据处理者”），须每年对其数据处理活动开展一次全面风险评估；若重要数据安全状况发生重大变动并可能危及数据安全，应及时就相关变化及其影响范围开展专项评估。 鼓励处理一般数据的网络数据处理者（以下简称“一般数据处理者”）至少每三年开展一次风险评估。 第七条 风险评估工作应严格遵循《网络数据安全管理条例》相关规定，并参照《数据安全技术 数据安全风险评估方法》（GB/T 45577）等国家标准执行；主管部门对本行业、本领域另有细化要求的，依其规定办理。 第八条 网络数据处理者可自主实施风险评估，也可委托具备资质的第三方评估机构（以下简称“评估机构”）开展。 自主评估须明确专人承担主体责任；委托评估时，应优先选择已通过认证的评估机构，并以书面合同或其他具有法律效力的形式，明确双方权责、保密义务及成果归属等内容。 第九条 经国务院认证认可监督管理部门批准、具备数据安全服务认证资质的认证机构，可依据《数据安全技术 数据安全评估机构能力要求》（GB/T 45389）等标准，对评估机构实施能力认证。 第十条 评估机构开展风险评估须恪守法律底线，秉持独立、公正、审慎原则作出专业判断，并对所出具的风险评估报告的真实性、有效性与完整性承担法律责任，不得将评估任务转包或分包给其他机构。 第十一条 同一评估机构及其关联方不得连续三次以上为同一网络数据处理者提供风险评估服务。 第十二条 评估机构在评估过程中发现重大数据安全风险隐患的，须第一时间告知被评估单位，并依规向省级以上网信部门及有关主管部门报告。 评估机构及其工作人员须对工作中知悉的数据、商业秘密、保密商务信息等履行法定保密义务，严禁泄露或非法提供；评估任务结束后，须及时清除留存的相关信息。 第十三条 重要数据处理者编制年度风险评估报告，应使用本办法附件所列模板；一般数据处理者可参照该模板编制；主管部门另有模板要求的，从其规定。 风险评估报告保存期限不得少于三年。 第十四条 重要数据处理者应在完成年度风险评估后 10 个工作日内，按主管部门要求提交评估报告；主管部门不明确的，报送至省级网信部门或国家网信部门。 主管部门须公开接收渠道与联系方式，确保及时受理；自收到报告起 10 个工作日内，须将报告同步抄送同级网信部门；国家网信部门负责汇总并向国家数据安全工作协调机制报送。 省级以上网信部门和主管部门可对报送报告的真实性、准确性进行随机核查，网络数据处理者须积极配合。 第十五条 省级以上网信部门及主管部门在报告核查、日常监管等工作中，如发现网络数据处理者存在下列情形之一的，应责令其委托经认证的评估机构重新开展风险评估： （一）数据处理活动存在显著安全薄弱环节； （二）发生数据安全事件，造成重要数据或大规模个人信息泄露、非法获取； （三）数据处理行为可能损害国家安全或公共利益； （四）国家网信部门或主管部门认定的其他情形。 对同一安全事件或风险点，不得重复下达委托评估指令。 第十六条 网络数据处理者依主管部门要求委托评估机构开展评估的，须履行以下义务： （一）为评估人员提供必要支持，包括开放数据设施访问权限、调阅原始数据、系统日志及操作记录等； （二）在规定时限内完成评估并承担全部费用；确因情况复杂需延期的，须报主管部门审批； （三）评估完成后，将加盖公章、由评估机构主要负责人与项目负责人共同签字的正式报告报送主管部门； （四）针对评估中指出的问题，在整改完毕后 15 个工作日内向主管部门提交整改落实情况报告。 网络数据处理者不得以任何形式干预、暗示或授意评估机构出具失实、不当结论。 第十七条 各部门在组织风险评估中发现危害国家安全、公共利益的数据处理行为，应立即责令限期整改；对拒不整改或整改未达标的，可依法采取暂停重要数据处理等必要管控措施。 第十八条 各地区、各部门应健全风险信息通报与联动处置机制，对评估中发现的安全隐患做到早预警、快响应、严闭环，并按规定及时上报。 省级网信部门统筹本地区风险信息共享与协同处置，每年 3 月 31 日前向国家网信部门报送上年度风险处置总结；国家网信部门汇总后呈报国家数据安全工作协调机制。 第十九条 任何单位和个人发现风险评估过程中的违法违纪行为，均可向有关部门投诉举报；受理单位须依法依规及时核查处理。 第二十条 省级以上网信部门及主管部门发现网络数据处理者未依法开展风险评估的，应依据《中华人民共和国数据安全法》等相关法律法规予以查处。 发现评估机构违反本办法的，应责令限期改正；情节严重的，可暂停或取消其评估资格，追究相关人员责任并向社会公示；涉嫌犯罪的，移送司法机关依法追究刑事责任。 第二十一条 风险评估、网络安全等级保护测评、数据安全管理认证、个人信息保护合规审计、商用密码应用安全性评估等工作内容存在交叉的，其结果可在符合要求前提下互认共用，避免多头重复评估、审计与认证。 第二十二条 重要数据处理者在对外提供、委托处理或共同处理重要数据前，可参照本办法有关规定开展前置风险评估。 第二十三条 核心数据处理者的风险评估，依照国家专门规定执行。 第二十四条 涉及国家秘密、工作秘密的风险评估活动，须严格遵守《中华人民共和国保守国家秘密法》等法律法规及国家保密管理要求。 第二十五条 本办法自 年 月 日起施行。

以上就是事关网络数据安全，国家网信办公开征求意见的详细内容，更多请关注php中文网其它相关文章！